ClickFix добрался и до OneDrive. Как распознать манипуляцию?

Исследователи кибербезопасности из компании Trellix предупреждают о новой фишинговой кампании, направленной на пользователей Microsoft OneDrive . Целью злоумышленников является выполнение вредоносного скрипта PowerShell .

Рафэль Пена, исследователь безопасности из компании Trellix, сообщил, что эта кампания активно использует тактики социальной инженерии для обмана пользователей с целью выполнения скрипта PowerShell, что приводит к компрометации их систем.

Trellix отслеживает эту фишинговую кампанию под названием OneDrive Pastejacking. Атака начинается с электронного письма, содержащего HTML-файл, который, при открытии, отображает изображение, имитирующее страницу OneDrive, с сообщением об ошибке: «Не удалось подключиться к облачному сервису OneDrive. Чтобы исправить ошибку, необходимо вручную обновить кэш DNS».

Сообщение предлагает два варианта действий: «Как исправить» и «Подробности». Нажатие на кнопку «Подробности» приводит пользователя на легитимную страницу Microsoft Learn по устранению неполадок DNS. Однако нажатие на «Как исправить» инициирует выполнение ряда шагов, включая открытие терминала PowerShell и вставку команды, закодированной в Base64 , якобы для устранения ошибки.

Команда запускает «ipconfig /flushdns», создаёт папку с названием «downloads» на диске C, загружает туда архивный файл, распаковывает его содержимое и выполняет скрипт с помощью «AutoIt3.exe».

Эта кампания нацелена на пользователей в США, Южной Корее, Германии, Индии, Ирландии, Италии, Норвегии и Великобритании. Подобные атаки также отслеживаются компаниями ReliaQuest, Proofpoint и McAfee Labs, что свидетельствует о растущей популярности этого метода фишинга, известного как ClickFix.

Этот случай подчёркивает важность критического мышления, ведь киберпреступники постоянно совершенствуют свои методы, используя доверие людей к известным брендам и их желание быстро решить те или иные технические проблемы.

Ключом к безопасности становится не только использование антивирусных программ, но и развитие навыков распознавания подозрительных действий, особенно когда речь идёт о выполнении неизвестных команд на вашем устройстве. Выполнение сложных технических команд без веских на то причин в большинстве случаев ведёт к заражению компьютера вредоносным ПО.